مرکز تخصصی آپا خوارزمی- اخبار تخصصی امنیت
جایزه ۱۰۰،۰۰۰ دلاری برای کشف اشکال روز صفر در سیستم

حذف تصاویر و رنگ‌ها  | تاریخ ارسال: 1399/3/13 | 
 یک شکارچی آسیب پذیری متبحر در یک سیستم صوتی "ورود به سیستم" اپل آسیب پذیری روز صفری را کشف کرد که ۱۰۰۰۰۰ دلار جایزه از شرکت فناوری Cupertino کسب کرد. این آسیب پذیری روز صفر ممکن است به کاربران مخرب اجازه دهد حساب کاربری وب سایت های شخص ثالث را با استفاده از روش تأیید اعتبار به طور کامل تصاحب کنند.
ورود به سیستم با حساب اپل روشی است که سال گذشته برای دسترسی به حساب های آنلاین استفاده شده بود. و به همین شکل کار می کند که برای احراز هویت با دکمه های Google یا Facebook که اغلب مشاهده می کنید، وارد سیستم شوید. با این حال، اپل حریم خصوصی سیستم خود را نسبت به سایرین اعلام کرد و گفت کاربران می توانند بدون استفاده از iCloud به یک سایت یا برنامه ای وارد شوند بدون اینکه آدرس ایمیل خود را نشان دهند.
نحوه کار این است که دکمه ورود به سیستم با Apple وقتی فعال می شود، که یک سرور تأیید اعتبار اپل یک JSON Web Token (JWT) ایجاد می کند. کاربران می توانند شناسه ایمیل خود را به اشتراک بگذارند یا مخفی کنند. در صورت پنهان بودن، سرور "شناسه ایمیل رله اپل" را ایجاد می کند، که در اصل یک ایمیل جعلی است. این سیستم برای ایجاد JWT از هرکدام از ایمیل ها، جعلی یا واقعی استفاده می کند. سپس این رمز توسط وب سایت شخص ثالث با سرور تأیید اعتبار اپل (نمودار زیر) تأیید می شود.
 
 
به عنوان مثال، هنگامی که از آن برای ورود به سیستم Dropbox استفاده شد، سرورهای اپل شناسه ایمیل "bhbfnub۲jsprivaterelay.appleid.com" را ایجاد کردند. این شناسه اکنون برای همیشه به سیستم iCloud برای ورود به سیستم Dropbox پیوند داده شده است. این روش برای هر برنامه یا وب سایتی که از دکمه ورود به سیستم با Apple استفاده می کنید، یک مورد جدید ایجاد می کند.
مشکل این است، سیستم به هر درخواست شناسه ایمیل به درخواست JWT پاسخ می دهد. این آسیب پذیری در اصل به یک مهاجم اجازه می دهد تا با استفاده از روش ورود، یک کلید احراز هویت را برای هر حساب کاربری ایجاد کند. هنگامی که امضای این علائم با استفاده از کلید عمومی اپل تأیید شد، آنها معتبر بودند. این بدان معنی است که یک مهاجم می تواند با اتصال هر شناسه ایمیل به آن و دسترسی به حساب قربانی، و یک JWT را جعل کند.
پیامدهای این بهره برداری واضح است. پس از تأیید اعتبار، یک مهاجم می تواند حساب قربانی را به طور کامل در دست بگیرد. چندین برنامه کاربردی قبلاً ورود به سیستم با Apple را پیاده سازی کرده اند، از جمله Dropbox، Spotify، Airbnb، Giphy و سایر موارد.
نشانی مطلب در وبگاه مرکز تخصصی آپا خوارزمی:
http://khu.ac.ir/find-74.8879.57861.fa.html
برگشت به اصل مطلب